Nouvelle décision d’adéquation pour les transferts de données personnelles vers les Etats-Unis, en sursis ?

Le transfert des données personnelles entre les Etats-Unis et l’Union Européenne est un sujet sensible depuis plusieurs années. Les précédents systèmes adoptés par les Etats-Unis ont d'abord été approuvés par la Commission européenne, dans des décisions d’adéquation qui garantissaient une protection équivalente à ce qui est prévu en droit européen sur les données personnelles, à savoir le RGPD. Puis, ces décisions d'adéquations ont été invalidées par la Cour de Justice de l’Union Européenne dans les fameux arrêts Schrems I pour le Safe Harbor et Schrems II pour le Privacy Shield.

La Commission européenne récidive en adoptant une décision d’adéquation du Data Privacy Framework, qu’elle considère être une version améliorée des précédents systèmes américains issus des négociations entre les Etats-Unis et cette première. Toutefois, les institutions consultatives aux décisions d’adéquation, que sont le CEPD et le Parlement européen, sont plus réservées sur le caractère suffisamment protecteur de ce nouveau système au regard du RGPD, laissant planer un doute sur la résistance de ce nouveau système, s’il devait arriver sur les bancs de la CJUE.

Le Data Privacy Framework (DPF), une version 2.0 du Privacy Shield ?

Dans le prolongement des discussions sur le projet de décision d’adéquation définissant un nouveau cadre transatlantique de protection des données, le Comité Européen de la Protection des Données, puis le Parlement européen en mai dernier, ont relevé des insuffisances au Data Privacy Framework (DPF). Ce texte est une version retravaillée du Privacy Shield qui avait été invalidé par la Cour de Justice de l’Union Européenne (CJUE), dans l’arrêt communément appelé Schrems II. Ces institutions ont donc émis des avis non contraignants défavorables à une décision d’adéquation de la Commission Européenne.

La cause principale de ces avis défavorables tient à la nature même du DPF mis en place qui repose sur l'Executive Order 14086 on Enhancing Safeguards For United States Signals Intelligence Activities (EO 14086) acté en octobre 2022 et visant à remédier aux défauts soulevés par la Cour de Justice de l’Union Européenne dans son arrêt Schrems II.

Un décret présidentiel américain pour se conformer aux exigences européennes

Ce décret présidentiel introduit des définitions de concepts clés en matière de protection des données, tels que les principes de nécessité et de proportionnalité, ce qui constitue, incontestablement, une avancée significative par rapport aux mécanismes de transfert précédents. Cependant, l'application du EO 14086 manque, selon le Parlement européen, de clarté, de précision et de sécurité juridique, car il peut être modifié ou révoqué à tout moment par le président américain, qui est également habilité à émettre des décrets présidentiels secrets.

En outre, le CEPD émet également des inquiétudes quant au contrôle effectif par la Data Protection Review Court (DPRC), également créée par l’EO 14086.

Pour rappel, le nouveau mécanisme de recours repose sur le dépôt d’une plainte devant le Civil Liberties Protection Officer of the Office of the Director of National Intelligence, puis une possibilité de faire appel devant le nouvel organisme, la DPRC.

Des nouveaux mécanismes de protection jugés insuffisants…

Les pouvoirs conférés à cet organisme pour remédier aux éventuelles violations constatées sont étendus et inclus désormais la suppression des données, ainsi que son indépendance accrue en comparaison au système précédent de l’Ombudsperson. Pour autant, la DPRC ne semble pas, selon le CEPD, bénéficier d’un degré d’indépendance suffisant quant au respect du droit à un recours collectif et à l’accès à un tribunal impartial au sens de l’article 47 de la Charte de l’Union européenne. Par exemple, les personnes concernées devront soumettre leur plainte par l’intermédiaire d’une autorité nationale européenne compétente dès lors que des questions de sécurité nationale ou de traitement de données par des autorités publiques seront en jeu. Cela instaure ainsi une inégalité de traitement au regard de la diversité des situations en Europe à cet égard.

De surcroît, certaines étapes devaient encore être franchies pour se rapprocher d’un système de protection équivalent selon le CEPD et le Parlement européen :

• Les services américains de renseignement ont jusqu’en octobre 2023 pour mettre à jour leurs politiques et pratiques afin de se conformer à l’EO 14086 re 2022, visant à remédier aux défauts soulevés par la Cour de Justice de l’Union Européenne dans son arrêt Schrems II) 
• L’avocat général américain doit encore désigner l’Union européenne et ses États membres comme des pays remplissant les conditions requises pour avoir accès à la DPRC afin que la Commission puisse être en mesure d’évaluer concrètement l’efficacité des mesures correctives et des mesures proposées en matière d’accès aux données.

… Mais une décision d’adéquation validée par la Commission européenne

Or, par décision du 10 juillet 2023, la Commission européenne a, pour autant, décidé d’adopter sa décision d’adéquation, considérant que le DPF garantissait une équivalence substantielle au Règlement Général sur la Protection des Données.

Selon Monsieur Didier Reynders, Commissaire à la Justice, « l’adoption de cette décision d’adéquation est la dernière étape d’un processus visant à garantir des transferts de données sûrs et libres par-delà l’Atlantique. Elle garantit la protection des droits individuels dans notre monde numérique immatériel et interconnecté, où les frontières physiques n’ont plus beaucoup d’importance. Depuis l’adoption de la décision Schrems II il y a quelques années, j’ai travaillé sans relâche avec mes homologues américains pour remédier aux préoccupations exprimées par la Cour de justice et faire en sorte que les progrès technologiques ne se fassent pas au détriment de la confiance des Européens. Toutefois, en tant que partenaires proches partageant les mêmes valeurs, l’UE et les États-Unis ont pu trouver des solutions fondées sur leurs valeurs communes qui sont à la fois légales et réalisables dans leurs systèmes respectifs. »

Ainsi, les données à caractère personnel peuvent circuler librement et en toute sécurité depuis l'Espace économique européen vers les Etats-Unis, sans que des conditions de garanties ou des autorisations supplémentaires ne soient nécessaires.

La Commission suit en permanence les évolutions pertinentes liées aux décisions d’adéquation et le premier examen aura lieu d’ici juillet 2024 afin de vérifier si les garanties de protection du DPF sont effectives en pratique.

La CJUE pourra également être saisie et se prononcer sur la validité du DPF, comme précédemment pour les systèmes de protection précédent lors des arrêts Schrems I et II.

Le conseil RSM

Cette décision d’adéquation est entrée en vigueur de sorte que les transferts vers les Etats-Unis peuvent désormais être traités de la même manière que des transferts de données intra-européennes.

RSM recommande, a minima à court terme, de conserver les mesures et garanties renforcées qu’ils avaient pu mettre en œuvre précédemment, ou à s’assurer, lors de nouvelles relations commerciales, de la mise en place des garanties de conformité usuelles tout en veillant à ajouter toutes stipulations protectrices par voie contractuelle le cas échéant.